Blog da AuditSafe, participe!

 

 

 

Dúvidas sobre o PCI-DSS?
A importância de senha forte e configuração adequada como parâmetro de Segurança - Requerimento 2


De: Fernando Ferreira, CEO da AuditSafe

Data: 09/11/2018

Em junho de 2016, Mark Zuckerberg, um dos fundadores do Facebook, teve suas contas do Twitter e Pinterest hackeadas. O curioso é que mesmo ele sendo um executivo bem-instruído, usava uma senha fraca.

 

Verdade seja dita, Zuckerberg não é exceção. Pelo contrário, ele pertence a um enorme grupo de usuários que, mesmo conhecendo o mundo da tecnologia e sendo ciente dos riscos, negligenciou o uso de senhas fortes ou configurações não padronizadas. Essa má prática é tão comum e crítica que até mesmo o PCI possui um requerimento específico sobre o tema.

 

A configuração adequada de certas informações, como endereços de IP e portas padrões, continuam sendo os pontos mais deixados de lado pelas companhias, junto com os protocolos de monitoramento (SNMP). Ajustes de redes wireless também estão longe do ideal. Por isso o documento reforça a importância de se atentar a esses detalhes.

 

O uso de senhas fracas e configurações padrões ainda é considerado uma das principais causas de vulnerabilidades nas organizações atualmente, independente do porte e segmento da organização. Uma vez descoberto, o acesso a dispositivos fica exposto a hackers e usuários mal-intencionados. Um agravante nesse cenário é que certos recursos raramente possuem updates de Firmware disponibilizados pelos fabricantes e, quando essas atualizações são lançadas, poucos usuários se preocupam em atualizá-lo.


Causas e consequências

 

Esse tipo de comportamento geralmente é atribuído a uma combinação de fatores. O primeiro deles é que muitas empresas crescem de forma desorganizada, tendo um time de TI júnior com pouco conhecimento do dia a dia de um ambiente estruturado. Quando esse espaço tecnológico cresce, nem sempre há investimento em número e qualificação dos colaboradores, deixando a Segurança em segundo ou terceiro plano. E quando tudo se torna estável, as mudanças ficam mais complexas e as equipes não possuem mão de obra suficiente para implementar as melhorias necessárias.

 

Muitas empresas também possuem uma estrutura de gerenciamento de senhas descentralizada, ficando à cargo das áreas de negócio fazer o controle dos acessos aos sistemas internos. Poucos lugares têm uma Política de Gestão de Acessos definida com processos formais para solicitação de acesso, níveis independentes de aprovação, revisão de perfis, etc. E quando esse trabalho é deixado para depois, o resultado não poderia ser diferente: caixa eletrônico canadense hackeado por senha padrão, um mesmo código padrão usado há 25 anos no produto de uma companhia, ataques DDoS que se espalham por incontáveis dispositivos vulneráveis graças ao uso de logins e senhas vindos de fábrica, entre outros.


O que fazer?

 

Para quem precisa entrar em conformidade com o PCI, a AuditSafe instrui de várias maneiras as empresas a desenvolverem senhas mais fortes e configurar adequadamente seus produtos, seja através da criação de baselines de segurança, hardening de equipamentos, realização de políticas de gestão de acesso, desenvolvimento de matrizes de segregação de função ou projetos de revisão de perfis. Sempre que possível, também é indicada a utilização de um Cofre de Senhas, usado especialmente para a gestão de acessos privilegiados nos ativos. 

 

Para usuários, a recomendação é utilizar um programa gerenciador de senhas que auxilia na criação de códigos mais complexos, fazendo com que a pessoa possa ter senhas longas e difíceis de serem descobertas, sem ter que confiar em sua própria memória. 

 

Outra sugestão é adotar uma passphrase, ou seja, uma frase como chave ao invés de uma única palavra, como por exemplo: “Minha senha de Redes Sociais!”. Além disso, uma mesma senha não deve ser utilizada em mais de um site/sistema/serviço para evitar que o comprometimento de um afete os demais, como feito por Mark Zuckerberg.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

Dúvidas sobre o PCI-DSS?
Saiba como construir e manter
a segurança de redes e sistemas - Requerimento 1


De: Fernando Ferreira, CEO da AuditSafe

Data: 22/10/2018

Vez ou outra nos deparamos com algum pop-up em nossa tela e uma mensagem nos diz que está na hora de atualizar determinado software. O tal do “deixar para depois” é uma prática comum entre usuários, afinal, fazer um update requer parar as nossas atividades, lidar com possíveis bugs, entre outros imprevistos. Mas não são apenas os programas que passam por atualizações; as regulamentações também são modernizadas constantemente a fim de garantir mais eficiência na proteção de dados, como é o caso do PCI.

 

Desde o seu surgimento, em 2006, o PCI já passou por diversas atualizações. Esses updates ocorrem sempre que novas tecnologias são lançadas no mercado e as instituições passam a adotá-las em massa. A mais recente é a de maio de 2018 (v3.2.1).

 

O primeiro requisito do PCI diz respeito a construir e manter a segurança de rede e sistemas por meio da instalação e configuração adequada do Firewall. É esse recurso que faz toda a segregação de redes, tanto interna (restringindo o acesso ao escopo de PCI) como externa (prevenindo o acesso externo à instituição), por isso a sua importância. E para garantir que funcione esse controle, há necessidade de se realizar Testes de Invasão, internos e externos, anualmente.

 

Da versão 2.0 para a 3.0, as principais mudanças referentes ao Firewall foram que as configurações devem ser documentadas, o diagrama de rede deve mostrar o fluxo de dados de cartão, o uso de protocolos inseguros é estritamente proibido e métodos anti-spoofing devem ser utilizados para detectar e bloquear IPs forjados na rede. A versão 3.0 entrou em vigor em 2013 e, de lá para cá, não houveram grandes mudanças. 

 

Dentre as orientações do requisito 1, o procedimento mais desafiador para as organizações é mapear corretamente todo o fluxo por onde os dados de cartão de crédito passam em sua infraestrutura. Quando esse mapeamento é realizado corretamente, incluindo servidores e portas utilizadas, repassar as informações para o Firewall é a parte mais simples. 

 

Por incrível que pareça, o ajuste incorreto do recurso é o maior erro cometido quanto se fala em Firewall. Para “facilitar o gerenciamento”, são feitas configurações muito abrangentes, permitindo tráfego maior de informações do que o necessário, abrindo brechas para ataques e vazamento de informações. Sem falar no uso de configuração padrão e de credenciais frágeis (como usuário e senha padrões ou fracas), que também aparecem como algumas das falhas mais comuns praticadas pelos usuários.

 

Embora existam diversos tipos de Firewall, o PCI não indica nenhum tipo específico a ser utilizado. Mesmo as soluções que têm recursos similares ao Firewall são permitidas, desde que o produto seja capaz de realizar o filtro certo de pacotes e segregar a rede corretamente.

 

Em suma, sempre que os dados saem da empresa de alguma forma que não seja fisicamente (pen-drives, HD externo, notebook, etc.) é porque há uma falha de segurança, seja na política de acessos ou de configuração. É nesse ponto que a AuditSafe pode ajudar, realizando trabalhos de análise e revisão de regras de Firewall, definindo melhor as políticas de acesso e mapeamento devido do fluxo de informações de cartão de crédito.

 

Ainda tem dúvidas? Entre em contato conosco.

 

 

 

 

ITI anuncia novas regras para Autoridades Certificadoras (ACs) e reforça selo WebTrust


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/10/2018

Na qualidade de Autoridade Certificadora Raiz da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, o Instituto Nacional de Tecnologia da Informação – ITI emitiu certificados digitais nas novas cadeias v8 e v9.

 

Sob a cadeia v8 serão emitidos certificados digitais SSL – Secure Sockets Layer -  enquanto que a v9 servirá para os certificados digitais Code Signing. Com isso, as Autoridades Certificadoras (ACs) que emitem os certificados SSL e Código Seguro terão de emitir novos certificados nessa nova estrutura.

 

Segundo a norma, as Autoridades Certificadoras (ACs) devem realizar procedimentos de auditoria anteriores à emissão de qualquer certificado com emissão de relatórios denominados point-in-time.

 

Esta medida tem como objetivo permitir que os navegadores (Google, Internet Explorer e demais browsers) reconheçam como válidos os certificados SSL e de Assinatura de Código emitidos abaixo da Infraestrutura de Chaves Públicas (ICP-Brasil).

 

As ACs que emitem certificados SSL e Code Signing terão que realizar as auditorias Webtrust com os critérios do Baseline with Network Security (SSL) e Publicly Trusted Code Signing Certificates (Code Signing). 

 

A AuditSafe está credenciada no ITI, desde 2009, para realização de auditorias operacionais e credenciamentos em Autoridade Certificadora. Além de estar credenciada no ITI, também está autorizada a realizar auditorias do Programa WebTrust, conquistada após rigorosa análise realizada pelo American Institute of Certified Public Accountants (AICPA) e Canadian Institute of Chartered Accountants (CICA). 

 

Sobre o WebTrust
 

As auditorias WebTrust para Autoridades Certificadoras têm como objetivo verificar se a AC está seguindo sua Declaração de Práticas de Certificação (DPC), o principal documento no âmbito da certificação digital. O escopo das auditorias tem a finalidade de auditar os processos relacionados ao ciclo de vida dos certificados digitais. 

 

Essas auditorias incluem, por exemplo, a geração das chaves dos certificados, a verificação das credenciais dos titulares dos certificados, a guarda das informações dos titulares, acessos a ambientes controlados, entre outros.  O programa engloba, portanto, todos os aspectos da Segurança da Informação: Segurança física, lógica e processual. 

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

Vazamento de dados:
De quem é a responsabilidade e
como podemos evitar isso?


De: Fernando Ferreira, CEO da AuditSafe

Data: 25/09/2018

T-Mobile, Boa Vista SCPC, British Airways, C&A...

 

Nos últimos meses, diversos casos de vazamento de dados se tornaram notícias. A causa para o possível aumento de números de casos pode estar numa desconexão entre o avanço das ameaças e a escassez de recursos em Segurança. 

 

Existe cada vez mais um senso comum que aponta o CEO como o principal responsável por garantir a segurança das informações corporativas. Faz sentido, afinal, é ele quem deveria estar sensibilizado com os riscos, perdas e prejuízos à imagem da organização e prover os recursos necessários para que os responsáveis pela SI possam fazer o trabalho da melhor maneira possível. 

 

Dessa forma, mesmo que um incidente ocorra (já que ninguém está totalmente imune a essa nova realidade) as consequências podem ser melhores gerenciadas e os impactos menores quando se tem os recursos necessários.

 

Presidentes e CEOs precisam pensar na Segurança da Informação de forma estratégica, totalmente alinhada com os objetivos dos negócios. Esse alinhamento pode começar com uma Análise de Maturidade dos processos e tecnologias utilizadas pelas empresas.

 

É claro que um bom processo, adequadamente implementado e aprimorado continuamente, que seja corretamente configurado nas ferramentas e soluções corporativas, e que tenha pessoas qualificadas para conduzi-los, reduzem drasticamente a probabilidade e o impacto de incidentes de segurança. 

 

No entanto, muitos executivos estão preocupados em bater metas e deixar cada vez mais as empresas com a melhor saúde financeira possível. Consequentemente, cortam custos, reduzem equipes e pouco investem em qualificação e recursos para seus profissionais.

 

O ideal seria que a Alta Direção criasse um Comitê de Auditoria, de modo que a Segurança da Informação seja tratada de forma correta, para que o Conselho seja sensibilizado e orientado a tomar as medidas necessárias. Tais orientações poderiam ser traçadas com a ajuda de consultorias especializadas. 

 

A AuditSafe trabalha em um modelo em que os recursos são instruídos de forma contínua ou sob demanda. Isso quer dizer que, no mesmo contrato, os clientes podem utilizar todos os seus profissionais de acordo com suas necessidades, seja para realizar um PenTest, tratar incidentes, gerir vulnerabilidades, entre outros serviços prestados.

 

As empresas podem ganhar dinheiro fazendo uma Segurança da Informação adequada. O segredo é incorporá-la aos negócios para que seja sua impulsionadora. 
 

 

 

 

 

AuditSafe amplia seu portfólio e
conquista denominação PCI-QSA


De: Fernando Ferreira, CEO da AuditSafe

Data: 05/09/2018

A partir de agora, a AuditSafe e sua equipe especializada estão qualificados para prestarem auditorias de certificação em PCI-DSS.
 

Em 2006, as principais bandeiras de cartão do mundo se uniram com o objetivo de tornar as operações mais seguras, resultando na criação do Payment Card Industry Standards Council. Desse conselho, foi estipulado um conjunto de requisitos mínimos de segurança para empresas que processam, transmitem e armazenam informações de cartões de crédito, o Payment Card Industry Data Security Standard (PCI DSS).
 

Para muitas empresas de auditoria e consultoria, conseguir a qualificação de Qualified Security Assessor é um processo complicado. O PCI Council exige um altíssimo padrão de qualidade em seus relatórios. Além de conhecimento técnico muito específico dos profissionais em Segurança da Informação, também é preciso o conhecimento nas regras de negócios, tornando a conquista da certificação ainda mais difícil e complexa.
 

Pensando na segurança e conformidade de seus clientes com os requisitos do PCI-DSS, a AuditSafe aprimorou seu processo de revisão da qualidade (Quality Assurance), aprovado pelo PCI Council, sendo seu sócio e fundador participante desse fluxo e também certificado como Qualified Security Assessor (QSA).
 

No Brasil
 

O brasileiro é um consumidor que, infelizmente, está habituado à sensação de insegurança ao fazer uma transação financeira. Não é para menos. Um recente estudo intitulado Raio-X da Fraude revelou que o e-commerce nacional, por exemplo, sofreu uma tentativa de golpe a cada cinco segundos e a maior parte deles ocorreu a partir de compras feitas com cartões de crédito clonados. O ponto é que a indústria de cartões de crédito movimenta milhões de reais diariamente e se tornou um dos alvos preferidos dos cibercriminosos.
 

As condições de segurança do PCI-DSS se aplicam aos componentes que participam diretamente do processamento de dados de cartão de crédito, ou seja, servidores de rede, aplicativos, bancos de dados, entre outros. Informações como nome, número do cartão e código de segurança devem ser protegidos para a segurança dos portadores de cartões.
 

Bancos, processadoras, provedores de serviços de pagamentos, agências de viagens, companhias aéreas, lojas de e-commerce e demais instituições financeiras e de meios de pagamentos que desejam implementar o padrão PCI-DSS devem consultar e ser acompanhadas por uma organização que tenha a denominação QSA – Qualified Security Assessor, como é o caso da AuditSafe.
 

Será ela a responsável por auxiliar e auditar a instituição em busca da certificação. Para que a companhia seja auditada, ela deve atingir todos os requisitos e processos estabelecidos pelo padrão para estar em conformidade e consequentemente mais segurança nas transações.

 

Precisa de ajuda? Vamos conversar? Entre em contato.

 

 

 

 

 

Foi invadido?
Saiba como criar um plano efetivo de resposta a incidentes?


De: Fernando Ferreira, CEO da AuditSafe

Data: 28/08/2018

Existe uma máxima no mundo da Tecnologia que diz o seguinte: “Toda empresa sofrerá um ataque virtual, é só uma questão de tempo”. 

 

A afirmação considera inúmeros fatores, entre eles: não existem tecnologias 100% seguras, pessoas falham, os ataques estão cada vez mais sofisticados e os investimentos para a área de Segurança não correspondem às necessidades dos atuais gestores de SI. Mas já que sofrer um ataque é inevitável, você pode ao menos ter um bom plano de resposta para minimizar o impacto e as consequências do incidente. 

 

Ao detectar um problema, o responsável deve trabalhar rapidamente na identificação da origem, avaliar o impacto e traçar um plano para a contenção. Uma das formas para mensurar as consequências pode ser por meio de uma BIA (Business Impact Analysis – análise de impacto nos negócios) ou através de um cálculo de perdas operacionais e financeiras. Situações que envolvem danos à imagem são mais difíceis de medir quantitativamente.

 

O plano de resposta deve ser elaborado pela área de Segurança da Informação (CSIRT), que assumirá a responsabilidade. No entanto, o programa exigirá sempre interação e interdependência das áreas de suporte (por exemplo, a infraestrutura de TI) e de negócios, principalmente no que tange a severidade e criticidade do incidente para a organização. Incidentes menores podem ser comunicados periodicamente ao board, enquanto os mais graves têm de ser reportados imediatamente.

 

Um plano eficiente de gestão de resposta a incidentes é composto por alguns processos: rastreabilidade das ações realizadas, identificação da origem do problema, a preservação das evidências (que poderão ser utilizadas para questões legais, posteriormente), fortalecimento da comunicação entre todas as áreas envolvidas e no reporte ao board, informando-o sobre o impacto do incidente.

 

Treinamentos periódicos ajudam na harmonia entre as partes envolvidas para que os processos de resposta a incidentes e gerenciamento de crises sejam melhorados continuamente. Eles são fundamentais para o desenvolvimento das lições aprendidas, revisão dos procedimentos existentes, estruturação das bases de conhecimentos e readequação dos cenários de testes contemplando novas ameaças. 

 

Infelizmente, muitas empresas ainda possuem uma visão reativa frente aos riscos que podem enfrentar. Mas o atual cenário exige que as organizações sejam mais proativas e preventivas, principalmente quando se trata de assuntos relacionados à Segurança da Informação e aos dados dos seus clientes.

 

Realizar um Diagnóstico de Riscos de SI para que as instituições tenham uma percepção mais real dos riscos os quais estão sujeitos facilita na hora de estruturar um plano de resposta mais efetivo. Somente dessa forma as pessoas envolvidas saberão lidar com as possíveis crises quando elas vierem a acontecer.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Por que estar em conformidade com leis e regulamentações é tão importante para a sua empresa?


De: Fernando Ferreira, CEO da AuditSafe

Data: 16/08/2018

A Segurança da Informação nunca esteve tão em evidência como nos dias de hoje.

 

Desde o fatídico 12 de maio de 2017, quando o mundo foi pego de “surpresa” pelo Wannacry (ransomware que fez mais de 300 mil vítimas em cerca de 150 países), o tema ganhou sobrevida dentro das organizações. Tanto que de lá para cá foi possível perceber uma grande movimentação no mercado e novas resoluções, regulamentações e propostas de leis foram criadas a fim de proporcionar um ambiente mais seguro para os negócios digitais.
 

GDPR, LGDP, Resolução 4.658, ISO27001, NIST, CobiT...
 

Todas elas têm um papel fundamental para as companhias hoje, independente do porte ou segmento em que atua. Elas são produtos originados a partir de anos de experiência e estudos. Consequentemente, todos as empresas podem se beneficiar e gerenciar seus riscos tecnológicos, cibernéticos e corporativos se as utilizarem corretamente. Até já falei aqui, em meu artigo anterior, que a Gestão de Riscos Cibernéticos pode alavancar os negócios quando bem aplicada.
 

No entanto, muitas empresas fazem gastos elevados (e muitas vezes, desnecessários) em tecnologias que prometem deixá-las em conformidade com tais regras, quando na verdade deveriam inicialmente realizar um diagnóstico para ter um retrato de sua situação atual. 
 

Por meio desse trabalho, as organizações saberão seu grau de aderência às regras desejadas, seu nível de maturidade e os riscos dos controles das normas frente aos negócios. Através desse relatório (que nada mais é que um Plano Diretor) ficará mais fácil para as companhias decidirem o quanto desejam investir, mensurando os riscos que desejam evitar.
 

Algumas pequenas e médias empresas tendem achar que, por serem menores, não serem tão desejadas por atacantes ou terem faturamento elevado não precisam se preocupar com essas regras. Ledo engano! Por mais que elas utilizem recursos tecnológicos, seja um firewall, ferramentas de prevenção ao vazamento de dados ou de criptografia de dados, não dá para desconsiderar o fator humano. Ou seja, de nada adiantam tecnologias se o funcionário da empresa ou o parceiro burlar os controles de segurança (seja de maneira intencional ou acidental). 
 

Atualmente há um grande esforço a ser desenvolvido quando o assunto é Conscientização em Segurança, Cyber Awareness ou Educação Digital. É preciso investir em um Programa Contínuo de Conscientização, considerando e-learning, simulações de phishing, jogos entre as áreas e materiais informativos, e não apenas realizar palestras. Qualquer regra, resolução, norma e boa prática abordará esse tema.
 

As leis e regulamentações brasileiras vigentes hoje são comparadas às internacionais e, a Lei Geral de Proteção de Dados aprovada, o Brasil estará entre um seleto time de países que têm leis específicas para proteger os dados dos cidadãos. Isso quer dizer que estamos entrando em um caminho sem volta.

 

Outras leis e regulamentações virão. Estar em conformidade com elas é um diferencial competitivo.

 

Entre em contato com a AuditSafe para uma conversa!

 

 

 

 

 

Prezado CEO,

Você Sabia que a Segurança da Informação
é Estratégica para o seu Negócio?


De: Fernando Ferreira, CEO da AuditSafe

Data: 07/08/2018

A “transformação digital” se tornou um dos termos mais mencionados pelos executivos de negócios nos últimos anos.

 

A busca por mais agilidade nas decisões, inovações tecnológicas, novas oportunidades de negócios e na maneira de interagir com os clientes são apenas algumas das razões que levaram os CEOs do mundo todo a investir tanto nessa nova Era Digital.

 

Infelizmente, os investimentos em Segurança não tiveram a mesma prioridade e os resultados podem ser vistos hoje com cada vez mais frequência: vazamento de dados, segredos comerciais revelados, dano à reputação da marca, perda de credibilidade, operações paralisadas, prejuízo financeiro, entre outros. Parte dessas consequências se deve, principalmente, ao distanciamento entre o Conselho de Administração e os profissionais de Segurança e Tecnologia da Informação.

 

A ausência dos responsáveis pela Segurança da Informação (SI) nas decisões do board é algo que precisa ser revisto dentro das organizações em caráter de urgência. Na maioria das instituições, o tema de SI está restrito aos Comitês de Auditoria, que solicitam esporadicamente a presença de um "C?O" para defender um projeto ou explicar algum incidente quando ocorrido. Mas, o fato é que as empresas precisam de um membro fixo no board com conhecimento em Segurança e Tecnologia da Informação.

 

O CEO precisa ter clara visão de que, para levar o negócio ao sucesso, deve encarar os assuntos de Tech e Cyber como oportunidades e impulsionadores dos negócios fazendo a Gestão dos Riscos Cibernéticos, ou seja, temas inerentes, integrados, que se complementam, onde não é possível fazer um sem investir no outro.

 

Muitas empresas ainda enxergam a área de Segurança da Informação como um centro de custo, e não como uma aceleradora dos negócios. É preciso mudar o mindset e ver a Cyber Security como  vantagem competitiva frente a concorrência.

 

A SI pode ser perfeitamente utilizada de maneira estratégica, como propulsora de inovações se dimensionada corretamente, afinal de contas, em um mundo cada vez mais digitalizado e ameaçado pelos riscos virtuais, a segurança tem tudo para ser o elemento-chave que definirá a escolha do cliente por determinado produto ou serviço no futuro. Você não vai querer perder essa chance, vai?

 

Não sabe por onde começar? Fale comigo, que posso te ajudar!

 

 

 

 

 

PenTest:
O que é, pra que serve e com qual frequência deve ser feito?

De: Fernando Ferreira, CEO da AuditSafe

Data: 19/07/2018

Quando foi a última vez que você fez um PenTest na sua organização? Ele foi realizado por uma equipe especializada?

 

O fato é que por mais que você tenha uma equipe de Tecnologia ou Segurança na sua empresa, é essencial contar com uma empresa especializada para realizar os testes de intrusão, principalmente por profissionais devidamente qualificados.

 

Em uma realidade onde empresas usam cada vez mais sistemas e aplicações, o PenTest se mostra fundamental para a estratégia de Segurança das organizações. Para se ter uma ideia, pesquisas revelam que empresas têm mais de 800 apps em uso (cerca de 20% a mais que o previsto) e, apesar de muitos deles terem bons recursos de proteção, alguns aplicativos contém vulnerabilidades e brechas capazes de comprometer os negócios das empresas.

 

É diante desse contexto que os testes de intrusão se mostram necessários. Eles auxiliam na elaboração de estratégias de proteção que garantem a confidencialidade, integridade e disponibilidade das informações e ambientes de processamento de dados, evitando vazamento e roubo de dados. 

 

A qualificação do profissional de PenTester

 

Aí você se pergunta: mas se eu tenho uma equipe boa de TI e SI, por que eu não posso pedir que eles façam um PenTest? Muitos das varreduras de redes comuns, confundidos com testes de intrusão, geram uma infinidade de falsos-positivos. Um profissional qualificado se certificará qual vulnerabilidade é realmente capaz de trazer algum risco real à empresa.

 

Esse profissional possui habilidades bastante específicas, que vão muito além do perfil técnico de quem, esporadicamente, faz as vezes de PenTester. Ele tem que ser autodidata e estar antenado com os principais fóruns de hacker para troca de informações, além de contar certificações internacionais, como Certified Ethical Hacker (CEH), Offensive Security Certified Proffesional (OSCP) e Certified Information Systems Security Professional‎ (CISSP).

 

Quando se fala em PenTest, o Gray Box é um dos mais comuns, pois os testes são iniciados às cegas e sem nenhuma informação do ambiente a fim de mapear e analisar as vulnerabilidades existentes. Em seguida, as credenciais são utilizadas para simular usuários internos legítimos (ex.: colaboradores) e verificar quais fraudes e brechas podem ser exploradas por um possível invasor.

 

Algumas instituições realizam testes constantemente antes de disponibilizarem serviços aos usuários. No entanto, é recomendável que a maior parte das organizações realize um ou dois testes por ano, na modalidade Gray Box, complementado por Scan/Varreduras trimestrais de vulnerabilidades.

 

A AuditSafe disponibiliza um time qualificado de profissionais que realizam PenTests em instituições de segmentos variados. Entre os serviços prestados estão o monitoramento dos ativos de infraestrutura, preparação de relatórios personalizados, interação humana para validação das vulnerabilidades e todo o apoio técnico dos nossos consultores na Gestão do Ciclo de Vida das Vulnerabilidades, do início ao fim da sua tratativa.

 

Para saber mais sobre o nosso serviço, clique aqui ou pergunte como nós podemos ajudá-lo no espaço abaixo.

 

 

 

 

 

Resolução No 4.658: o que você tem a ver com isso?

De: Fernando Ferreira, CEO da AuditSafe

Data: 10/07/2018

Espera-se que alguns dos novos quesitos de Segurança virem referência para a maioria das empresas, no entanto, instituições devem continuar investindo em trabalhos de Avaliação de Riscos de Cibersegurança em seus ambientes.

 

A nova Resolução No 4.658, publicada recentemente pelo Banco Central, foi vista com bons olhos pelos profissionais de Segurança como um todo. Ao estabelecer a necessidade das instituições financeiras em ter uma política de segurança cibernética, incluindo um plano de ação e de resposta a incidentes, bem como a definição dos requisitos para contratação de serviços em processamento e armazenamento de dados e de computação em nuvem.

 

Espera-se que alguns desses itens virem referência para outros setores além do setor financeiro.
 
As organizações que possuírem os processos de Segurança da Informação bem-estruturados terão mais facilidade para implementar o detalhamento dos controles exigidos pela referida resolução. 

 

Um aspecto importante da resolução 4.658, é que a instituição deverá nomear um diretor responsável pela política de segurança cibernética e pela execução do plano de ação e de respostas a incidentes, além de reportar periodicamente sobre o andamento e tratamento das ações junto ao Banco Central.

 

Seguem algumas datas importantes previstas pela resolução que a instituição deve ficar atenta:
 
•    03/10/2018 - Data limite para apresentação do Plano de Adequação

•    06/05/2019 - Data limite para Elaboração e Aprovação da Política de Segurança Cibernética

•    31/12/2019 e 31/03/2020 - Data base e de limite para apresentação do 1º relatório anual

•    31/12/2021 - Data limite para adequação às diretrizes da resolução
 
Em virtude desse cenário, a AuditSafe tem sido contatada frequentemente como prestadora de serviços para avaliar o ambiente tecnológico dessas instituições de modo a avaliar sua aderência dos controles estabelecidos por essa resolução.

 

Tais serviços, incluem, por exemplo, analisar o nível de maturidade de processos, pessoas e das tecnologias existentes; identificar as fragilidades nos controles e exposição dos riscos atuais; e elaborar os planos de ação para correção e mitigação dos riscos de acordo com as necessidades de negócios.

 

Saiba mais.